Serveur DNS : Capital pour la performance réseau et applicative

Le DNS (système de nom de domaine) qui a été défini en détail dans les RFC #1034 et 1035, est clé pour la bonne performance des réseaux TCP/IP. Il fonctionne de façon hiérarchique : cela signifie que si un serveur DNS est mal configuré ou dysfonctionne, c’est l’ensemble du réseau, qui dépend de lui, qui sera impacté. Bien que le protocole DNS soit assez simple, il génère un nombre significatif de problèmes : notamment des problèmes de configurations qui affectent les performances du réseau, mais aussi de la sécurité, ce qui peut mettre en danger l’intégrité du réseau.

L’objet de cet article est de couvrir les principaux problèmes de configuration que vous pourrez rencontrer avec le DNS lorsque survient une dégradation de performance liée au réseau.

Le serveur DNS nécessite d’avoir un niveau de disponibilité important pour résoudre la grande quantité de noms associés aux adresses IP, indispensable pour le bon fonctionnement des applications distribuées sur le réseau. Une surcharge du serveur DNS, qui prendra du temps à répondre à une requête, pourra ralentir toutes les applications qui n’auront pas de données DNS dans leur cache. Une analyse des flux DNS sur le réseau pourra révéler des dysfonctionnements tels que :

• Si l’on observe que la durée moyenne entre la requête du client (qui essaye de résoudre google.com dans une adresse IP) est considérablement plus longue que la moyenne (sur un réseau cela doit être proche de 1ms), cela signifie que le serveur DNS a un problème en rapport avec le cache des noms DNS. Le principe du cache est de permettre de résoudre un nom sans avoir besoin d’envoyer une requête DNS sur le serveur, qui a autorité dans la zone DNS, l’adresse IP correspondant au nom. D’où le fait que si la réponse est longue, en premier lieu ce sera l’application qui paraitra lente du point de vue de l’utilisateur, et en second lieu, cela impliquera une consommation de bande passante inutile. Cette dernière sera impactée par une charge supplémentaire à la fois sur le réseau et sur le lien internet (si nous faisons l’hypothèse que le serveur demandé est situé sur internet). Si nous considérons le cas d’une organisation assez importante, la bande passante utilisée par le trafic DNS sera non négligeable et représentera une charge additionnelle.
• Si nous déterminons le top serveur au niveau des requêtes DNS, il sera possible d’identifier les clients mal configurés qui ne vont pas chercher dans un cache local les réponses des serveurs DNS ; cette approche permettra de distinguer un problème qui émane du poste de travail, de celui qui pourrait subvenir d’un problème global du réseau. Il est important de noter que les clients IP qui génèrent un nombre important de requêtes DNS peuvent être le symptôme d’un comportement malveillant : par exemple, quelques Malwares tentent d’établir une connexion internet en résolvant des noms de domaines, et parfois le protocole DNS est utilisé par des biais camouflés pour détourner des informations.
• Nous pouvons également demander à voir les tops IP qui reçoivent le plus de messages d’erreurs (clients IP inexistants, etc.). Ceci mettra en évidence les postes mal configurés qui génèrent un trafic inutile et qui baissent la moyenne globale des performances du réseau.
• En analysant le trafic généré par les serveurs DNS, on pourra vérifier que l’actualisation entre le DNS primaire et secondaire correspond à notre requête. Pour effectuer cela, nous aurons besoin d’identifier les transactions AXFR et IXFR qui vont vers leur serveur d’autorité. Si ces actualisations arrivent trop souvent (et par la même génèrent un trafic inutile), on pourra conclure qu’il y a un souci. Si la bande passante utilisée est trop grande, cela signifie que notre serveur DNS requête vers une zone de transfert pleine (AXFR) là ou un transfert itératif (IXFR) aurait été plus pertinent. Si c’est le cas, alors l’administrateur réseau pourra définir quelques étapes faciles pour améliorer les performances de son réseau.

Voici donc un résumé des fréquents problèmes rencontrés sur les impacts du DNS sur les performances réseau.